Uma nova campanha maliciosa tem se disfarçado de versões legĂtimas do WPS Office e da IA DeepSeek para infectar computadores e roubar dados, afetando principalmente usuários chineses.
De acordo com o TecMundo, hackers vinculados ao grupo Silver Fox (também chamado Void Arachne) criaram sites falsos que oferecem downloads modificados dessas ferramentas populares — WPS Office e DeepSeek — com malwares embutidos
A prisĂŁo do esquema começa na instalação das versões alteradas, que incluem o trojan Sainbox RAT (variação do Gh0stRAT) e rootkit que se oculta no sistema, dificultando sua remoção . O rootkit garante persistĂŞncia ao registrar serviços ocultos, enquanto o RAT oferece controle remoto total para os invasores . O impacto inclui roubo de dados sensĂveis e abertura de portas para ações maliciosas futuras.
O ataque Ă© sofisticado: alĂ©m de instalar o software legĂtimo para parecer autĂŞntico, o instalador malicioso compartilha componentes por meio de DLL sideloading, usando a real “Shine.exe” para carregar cĂłdigo malicioso disfarçado como “libcef.dll”
Dica de prevenção
-
Faça download apenas de fontes oficiais: utilize sites da WPS Office e DeepSeek originais.
-
Verifique a URL e presença de HTTPS antes de baixar qualquer software.
-
Mantenha sistema e antivĂrus sempre atualizados para identificar RATs e rootkits.
-
Monitore processos e drivers suspeitos, especialmente executáveis não autorizados sendo carregados no startup.
Campanhas como essa demonstram que humanos confiam demais nos downloads populares — e pagam caro. Priorizar fontes oficiais, manter ambientes atualizados e adotar monitoramento de processos são essenciais para fugir desse tipo de ameaça.
👉 A LC SEC oferece serviços completos de pesquisa de ameaças, hardening de endpoints e monitoramento continuo para evitar infecções sofisticadas. Conheça nossas soluções em lcsec.io
Compartilhe nas redes sociais:
